Android Enterprise 功能列表

1.1.1. EMM 的 DPC 必须在 Google Play 上公开提供，以便用户能在设备的个人端安装 DPC。

1.1.2. 安装后，DPC 必须引导用户完成工作资料预配流程。

1.1.3. 配置完成后，设备的个人端将不再有任何管理痕迹。

• 必须移除在配置期间设置的所有政策。
• 必须撤消应用权限。
• 必须至少在设备的个人端关闭 EMM 的 DPC。

1.2.1. EMM 的 DPC 必须在 Google Play 上公开提供。DPC 必须可通过输入 DPC 专用标识符从设备设置向导安装。

1.3.1. EMM 必须使用具有至少 888 字节内存的 NFC Forum 类型 2 标记。 配置必须使用配置 extra 将非敏感的注册详细信息（例如服务器 ID 和注册 ID）传递给设备。注册详情不应包含密码或证书等敏感信息。

1.4.1. 二维码必须使用配置 extra 将非敏感的注册详细信息（例如服务器 ID 和注册 ID）传递给设备。注册详情不得包含密码或证书等敏感信息。

1.4.2. 在 EMM 的 DPC 设置设备后，DPC 必须立即打开并将自身锁定到屏幕，直到设备完全配置完毕。

1.5.1. IT 管理员可以使用面向 IT 管理员的零触摸注册中所述的零触摸注册方法配置公司自有设备。

1.6.1. IT 管理员可以使用零触摸注册方法（如面向 IT 管理员的零触摸注册中所述）来配置公司自有设备。

1.6.2. 在 EMM 的 DPC 设置设备后，EMM 的 DPC 必须立即打开并将自身锁定到屏幕，直到设备完全配置完毕。

• 对于使用零触摸注册注册详细信息以静默方式自行完成完整配置的设备（例如，在专用设备部署中），可以免除此要求。

1.6.3. EMM 的 DPC 必须利用注册详情确保未经授权的用户在调用 DPC 后无法继续激活。至少，激活必须锁定为特定企业的用户。

1.6.4. 借助注册详细信息，EMM 的 DPC 必须允许 IT 管理员预填充除唯一身份用户或设备信息（例如用户名/密码、激活令牌）之外的注册详细信息（例如服务器 ID、注册 ID），这样用户在激活设备时无需输入详细信息。

• EMM 不得在零触式注册的配置中包含密码或证书等敏感信息。

1.8.1. Google 账号配置方法会根据定义的实现准则配置公司自有设备。

1.8.2. 除非 EMM 可以明确将设备识别为公司资产，否则在配置流程中，EMM 无法在没有提示的情况下配置设备。此提示必须执行非默认操作，例如选中复选框或选择非默认菜单选项。建议 EMM 能够将设备标识为公司资产，因此无需提示。

1.10.1. 故意留空。

1.10.2. IT 管理员可以在公司自有设备上为工作资料设置合规性操作。

1.10.3. IT 管理员可以在工作资料或整个设备中停用摄像头。

1.10.4. IT 管理员可以在工作资料或整个设备中停用屏幕截图。

1.10.5. IT 管理员可以设置许可名单或屏蔽名单，以指定可以在个人资料中安装或无法在个人资料中安装的应用。

2.1.1. 政策必须强制执行用于管理设备安全性质询的设置（对于工作资料，为 parentProfilePasswordRequirements；对于完全受管设备和专用设备，为 passwordRequirements）。

2.1.2. 密码复杂度必须与以下密码复杂程度相对应：

• PASSWORD_COMPLEXITY_LOW - 解锁图案或 PIN 码包含重复 (4444) 或有序 (1234、4321、2468) 序列。
• PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码，或长度至少为 4 位的字母密码或字母数字密码
• PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序 (1234、4321、2468) 序列且长度至少为 8 位的 PIN 码，或长度至少为 6 位的字母或字母数字密码

2.2.1. 政策必须对工作资料强制执行安全性验证。默认情况下，IT 管理员应仅为工作资料设置限制；如果未指定范围，IT 管理员可以通过指定范围来设置此设备级限制（请参阅要求 2.1）

2.1.2. 密码复杂度应与以下密码复杂度对应：

• PASSWORD_COMPLEXITY_LOW - 解锁图案或 PIN 码包含重复 (4444) 或有序 (1234、4321、2468) 序列。
• PASSWORD_COMPLEXITY_MEDIUM - 不含重复 (4444) 或有序 (1234、4321、2468) 序列的 PIN 码，或长度至少为 4 位的字母密码或字母数字密码
• PASSWORD_COMPLEXITY_HIGH - 不含重复 (4444) 或有序 (1234、4321、2468) 序列且长度至少为 8 位的 PIN 码，或长度至少为 6 位的字母或字母数字密码

2.3.2. 故意留空。

2.3.3. 您可以为设备上可用的每个锁定屏幕设置以下密码生命周期设置：

1. 故意留空
2. 故意留空
3. 擦除密码失败次数上限：指定在从设备中擦除公司数据之前，用户可以输入错误密码的次数。IT 管理员必须能够关闭此功能。

2.4.1. IT 管理员可以针对设备上可用的每个锁定屏幕独立停用 Smart Lock 信任代理。

2.4.2. IT 管理员可以为设备上可用的每个锁定屏幕独立选择允许和设置 Smart Lock 可信代理，可信代理包括蓝牙、NFC、地点、人脸、随身和语音。

• IT 管理员可以修改可用的信任代理配置参数。

2.5.1. EMM 的 DPC 必须锁定设备。

2.7.1. EMM 的 DPC 必须禁止从未知来源安装应用，包括在任何搭载 Android 8.0 及更高版本且具有工作资料的设备上安装在个人资料侧的应用。

2.8.1. 默认情况下，EMM 的 DPC 必须关闭启动到安全模式。

2.8.2. 在配置期间首次启动时，EMM 的 DPC 必须立即打开并锁定到屏幕，以确保不会以任何其他方式与设备交互。

EMM 使用 Play Integrity API 来确保设备是有效的 Android 设备。

2.9.1. EMM 的 DPC 会在配置期间实现 Play Integrity API，并且默认情况下，只有当返回的设备完整性为 MEETS_STRONG_INTEGRITY 时，才会使用企业数据完成设备配置。

2.9.2. 每当设备向 EMM 的服务器登记时，EMM 的 DPC 都会执行另一项 Play Integrity 检查（可由 IT 管理员进行配置）。EMM 服务器会先验证完整性检查响应中的 APK 信息和响应本身，然后再更新设备上的企业政策。

2.9.3. IT 管理员可以根据 Play 完整性检查的结果设置不同的政策响应，包括阻止配置、擦除公司数据以及允许继续注册。

• EMM 服务将对每次完整性检查的结果强制执行此政策响应。

2.11.1. 在 DPC 的凭据加密存储空间解密之前，EMM 的 DPC 会利用设备加密存储空间执行关键管理功能。在直接启动期间可用的管理功能必须包括（但不限于）：

• 企业级擦除，包括根据需要擦除恢复出厂设置保护数据。

2.11.2. EMM 的 DPC 不得在设备加密存储空间中公开公司数据。

2.12.1. IT 管理员可以禁止用户在其设备上挂载实体外部媒体。

2.12.2. IT 管理员可以阻止用户使用 NFC 感应功能共享设备中的数据。由于 Android 10 及更高版本不再支持 NFC 感应功能，因此此子功能为可选功能。

2.13.1. IT 管理员可以为特定设备启用安全日志记录，并且 EMM 的 DPC 必须能够自动检索安全日志和重新启动前的安全日志。

2.13.2. IT 管理员可以在 EMM 控制台中查看指定设备和可配置时间范围的企业安全日志。

3.1.1. 拥有现有受管 Google 网域的管理员可以将其网域绑定到 EMM。

3.1.2. EMM 的控制台必须为每个企业静默预配并设置唯一的 ESA。

3.1.3. 使用 Play EMM API 取消注册企业。

3.1.4. EMM 控制台会引导管理员在 Android 注册流程中输入其工作电子邮件地址，并建议他们不要使用 Gmail 账号。

3.2.1. EMM 的 DPC 可以根据定义的实现准则静默配置和激活 Google Play 企业版账号。这样一来：

• 系统会向设备添加类型为 userAccount 的 Google Play 企业版账号。
• userAccount 类型的 Google Play 企业版账号必须与 EMM 控制台中的实际用户进行一对一映射。

3.4.1. EMM 的 DPC 可以根据定义的实现指南，静默配置和激活受管 Google Play 账号。这样一来：

1. 系统会向设备添加类型为 userAccount 的 Google Play 企业版账号。
2. userAccount 类型的 Google Play 企业版账号必须与 EMM 控制台中的实际用户进行一对一映射。

3.5.1. EMM 控制台必须使用 Play EMM API，才能允许 IT 管理员在受管设备上安装工作应用。

3.5.2. EMM 控制台必须使用 Play EMM API，才能允许 IT 管理员更新受管设备上的工作应用。

3.6.1. EMM 的控制台必须能够检索和显示任何 Play 应用的受管理配置设置。

• EMM 可以调用 Products.getAppRestrictionsSchema 来检索应用的托管配置架构，也可以在其 EMM 控制台中嵌入托管配置框架。

3.6.2. EMM 的控制台必须允许 IT 管理员使用 Play EMM API 为任何 Play 应用设置任何配置类型（由 Android 框架定义）。

3.6.3. EMM 的控制台必须允许 IT 管理员设置通配符（例如 $username$ 或 %emailAddress%），以便将针对 Gmail 等应用的单个配置应用于多位用户。受管理的配置 iframe 会自动支持此要求。

3.7.1. EMM 的控制台可以显示已获批准分发的应用列表，其中包括：

• 在 Google Play 企业版中购买的应用
• IT 管理员可以看到专用应用
• 以程序化方式批准的应用

3.10.1. IT 管理员可以在 EMM 控制台中执行以下操作，以自定义 Google Play 企业版商店布局：

• 最多可以创建 100 个商店布局页面。页面可以包含任意数量的已本地化的页面名称。
• 每个网页最多可以创建 30 个集群。集群可以有任意数量的本地化集群名称。
• 每个集群最多可分配 100 个应用。
• 每个页面最多可添加 10 个快捷链接。
• 指定集群中应用和页面内集群的排序顺序。

3.11.1. 对于已获批准供企业使用的付费应用，EMM 的控制台必须显示：

• 已购买的许可数量。
• 使用的许可数和使用许可的用户数。
• 可分发的许可数量。

3.11.2. IT 管理员可以向用户静默分配许可，而无需强制在用户的任何设备上安装该应用。

3.12.1. IT 管理员可以使用以下工具上传已面向企业私下发布的应用的新版本：

IT 管理员可以参阅支持专用应用了解详情。

3.13.1. EMM 的控制台必须提供以下两个选项，以帮助 IT 管理员托管应用 APK：

• 在 EMM 的服务器上托管 APK。服务器可以是本地服务器，也可以是云端服务器。
• IT 管理员自行决定将 APK 托管在 EMM 服务器之外。IT 管理员必须在 EMM 控制台中指定 APK 的托管位置。

3.13.2. EMM 的控制台必须使用提供的 APK 生成适当的 APK 定义文件，并且必须引导 IT 管理员完成发布流程。

3.13.3. IT 管理员可以更新自托管的专用应用，并且 EMM 的控制台可以使用 Google Play Developer Publishing API 静默发布更新后的 APK 定义文件。

3.13.4. EMM 的服务器仅处理对自托管 APK 的下载请求，该 APK 在请求的 Cookie 中包含有效 JWT（通过专用应用的公钥验证）。

• 为简化此流程，EMM 的服务器必须引导 IT 管理员从 Google Play 管理中心下载自托管应用的许可公钥，并将此密钥上传到 EMM 控制台。

3.14.1. EMM 必须使用 Play 的 EMM 通知来提取通知集。

3.14.2. EMM 必须针对以下通知事件自动通知 IT 管理员（例如通过自动发送电子邮件）：

• newPermissionEvent：需要 IT 管理员批准新的应用权限，然后才能在用户设备上静默安装或更新应用。
• appRestrictionsSchemaChangeEvent：可能需要 IT 管理员更新应用的受管理配置，以保持预期的效率。
• appUpdateEvent：对于想要验证核心工作流性能是否不受应用更新影响的 IT 管理员来说，可能很有用。
• productAvailabilityChangeEvent：可能会影响安装应用或获取应用更新的能力。
• installFailureEvent：Play 无法在设备上静默安装应用，这可能表示设备配置存在某些问题，导致安装失败。EMM 在收到此通知后，不应立即再次尝试静默安装，因为 Play 自己的重试逻辑已失败。

3.14.3. EMM 会根据以下通知事件自动执行适当的操作：

• newDeviceEvent：在设备配置期间，EMM 必须等待 newDeviceEvent，然后才能为新设备发出后续的 Play EMM API 调用，包括静默安装应用和设置受管配置。
• productApprovalEvent：如果有有效的 IT 管理员会话，或者在每次 IT 管理员会话开始时未自动重新加载已批准的应用列表，则在收到 productApprovalEvent 通知后，EMM 必须自动更新导入到 EMM 控制台的已批准应用列表，以便分发到设备。

3.15.1. EMM 必须遵守 Play EMM API 用量限制。如不纠正超出这些准则的行为，Google 可自行决定暂停您 API 的使用。

3.15.2. EMM 应在整个日程中分配来自不同企业的流量，而不是在特定时间或类似时间整合企业流量。符合此流量模式的行为（例如为每部已注册的设备安排批量操作）可能会导致 Google 暂停 API 使用，具体取决于 Google 的判断。

• Google Play 企业版 iFrame，或者
• 自定义界面。

3.16.2. 当 IT 管理员设置好应用的反馈渠道后，EMM 的控制台必须能够检索和显示应用返回的任何反馈。

• EMM 的控制台必须允许 IT 管理员将特定反馈项与其来源设备和应用相关联。
• EMM 的控制台必须允许 IT 管理员订阅特定消息类型（例如错误消息）的提醒或报告。

3.16.3. EMM 的控制台只能发送具有默认值或由管理员手动设置的值，具体方法如下：

• 托管配置 iframe，或
• 自定义界面。

3.17.1. IT 管理员可以使用 EMM 控制台分发 Web 应用的快捷方式，具体方法如下：

3.18.1. EMM 可以根据 Play EMM API 开发者文档中定义的实现指南管理 Google Play 企业版账号的生命周期。

3.18.2. EMM 无需用户互动即可重新对受管理的 Google Play 账号进行身份验证。

3.20.2. IT 管理员可以允许应用将应用更新推迟 90 天。

4.1.1. IT 管理员在为其组织设置默认运行时权限政策时，必须能够从以下选项中进行选择：

• 提示（允许用户选择）
• allow
• deny

4.3.1. SSID（使用 EMM 的 DPC）。

4.4.1. 身份，使用 EMM 的 DPC。

4.4.2. 用于客户端授权的证书，使用 EMM 的 DPC。

4.5.1. IT 管理员可以在以下任一配置中锁定企业 Wi-Fi 配置：

• 用户无法修改 EMM 预配的任何 Wi-Fi 配置，但可以添加和修改自己的用户可配置网络（例如个人网络）。
• 用户无法在设备上添加或修改任何 Wi-Fi 网络，这会将 Wi-Fi 连接限制为仅限 EMM 预配的网络。

4.6.1. IT 管理员可以禁止添加或修改账号。

• 在设备上强制执行此政策时，EMM 必须在配置完成之前设置此限制，以确保您无法在政策生效之前通过添加账号来规避此政策。

4.7.1. 在账号管理锁定生效后，IT 管理员可以在配置期间指定要激活的 Google 账号。

4.7.2. EMM 的 DPC 必须提示启用 Google 账号，并确保通过指定要添加的账号，只能启用特定账号。

• 在低于 Android 7.0 的设备上，DPC 必须 先暂时关闭账号管理限制，然后再提示用户。

4.8.1. IT 管理员可以按用户安装其 PKI 生成的用户身份证书。EMM 的控制台必须与至少一个公钥基础设施 (PKI) 集成，并分发由该基础架构生成的证书。

4.9.1. 对于分发到设备的任何应用，IT 管理员都可以指定一个证书，系统会在运行时静默授予该应用访问权限。

• 证书选择必须足够通用，以允许单个配置适用于所有用户，每个用户都可能具有特定于用户的身份证书。

4.9.2. IT 管理员可以从受管理的密钥库中静默移除证书。

4.9.3. IT 管理员可以静默卸载 CA 证书或所有非系统 CA 证书。

4.9.4. IT 管理员可以禁止用户在受管理的密钥库中配置凭据。

4.10.1. IT 管理员指定一个证书管理软件包，以被 DPC 设为委托证书管理应用。

• 控制台可以选择建议已知的证书管理软件包，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.11.1. IT 管理员可以指定任意 VPN 软件包，将其设置为始终开启的 VPN。

• EMM 的控制台可以选择建议支持始终开启的 VPN 的已知 VPN 软件包，但不能将可用于始终开启配置的 VPN 限制为任何任意列表。

4.11.2. IT 管理员可以使用托管配置为应用指定 VPN 设置。

4.12.1. IT 管理员可以设置任意长度的 IME 许可名单（包括空白列表，用于屏蔽非系统 IME），其中可以包含任何任意 IME 软件包。

• EMM 的控制台可以选择建议将已知或推荐的 IME 添加到许可名单中，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.13.1. IT 管理员可以设置任意长度的 IME 许可名单（不包括空列表，空列表会屏蔽包括系统 IME 在内的所有 IME），其中可能包含任何任意 IME 软件包。

• EMM 的控制台可以选择建议将已知或推荐的 IME 添加到许可名单中，但必须允许 IT 管理员从可供安装的应用列表中为适用用户进行选择。

4.13.2. EMM 必须阻止 IT 管理员设置空白许可名单，因为此设置会阻止在设备上设置所有 IME（包括系统 IME）。

4.14.1. IT 管理员可以设置任意长度的无障碍服务许可名单（包括空白列表，用于屏蔽非系统无障碍服务），其中可以包含任何任意无障碍服务软件包。当应用于工作资料时，这会同时影响个人资料和工作资料。

• 控制台可以选择建议添加到许可名单中的已知或推荐的无障碍服务，但必须允许 IT 管理员为适用用户从可安装应用列表中进行选择。

4.16.1. IT 管理员可以将设备位置信息服务设置为以下任一模式：

• 高精确度。
• 仅限传感器（例如 GPS），但不包括网络提供的位置信息。
• 省电模式，用于限制更新频率。
• 关闭。

4.17.1. IT 管理员可以在“设置”中阻止用户将设备恢复出厂设置。

4.17.2. IT 管理员可以在设备恢复出厂设置后指定获授权用于预配设备的公司解锁账号。

• 此账号可以与个人相关联，也可以供整个企业用于解锁设备。

4.17.3. IT 管理员可以为指定设备停用恢复出厂设置保护。

4.17.4. IT 管理员可以启动远程设备清除，可选择清除恢复出厂设置保护数据，从而移除已重置设备上的恢复出厂设置保护。

4.18.1. IT 管理员可以禁止卸载任何任意受管应用，或所有受管应用。

4.21.1. IT 管理员可以针对给定设备和可配置时间范围查询工作资料的网络统计信息摘要，并在 EMM 的控制台中查看这些详细信息。

4.21.2. IT 管理员可以查询工作资料网络使用统计信息中的应用摘要（针对给定设备和可配置的时间范围），并在 EMM 控制台中查看按 UID 整理的这些详细信息。

4.21.3. IT 管理员可以针对指定设备和可配置的时间范围查询工作资料的网络使用历史数据，并在 EMM 控制台中按 UID 查看这些按 UID 整理的详细信息。

4.22.1. IT 管理员可以针对给定设备和可配置的时间范围查询整个设备的网络统计信息摘要，并在 EMM 控制台中查看这些详细信息。

4.22.2. IT 管理员可以针对指定设备和可配置的时间范围查询应用网络使用情况统计信息摘要，并在 EMM 控制台中查看按 UID 整理的这些详细信息。

IT 管理员可以远程重启受管理的设备。

4.23.1. IT 管理员可以远程重新启动受管设备。

4.24.1. IT 管理员可以停用服务提供商发送的移动网络广播（例如 AMBER 提醒）。

4.24.2. IT 管理员可以禁止用户在“设置”中修改移动网络设置。

4.24.3. IT 管理员可以阻止用户在“设置”中重置网络设置。

4.24.4. IT 管理员可以允许或禁止在漫游时使用移动流量。

4.24.5. IT 管理员可以设置设备能否拨打电话（不包括紧急呼叫）。

4.24.6. IT 管理员可以设置设备是否可以收发短信。

4.24.7. IT 管理员可以禁止用户通过网络共享将其设备用作便携式热点。

4.24.8. IT 管理员可以将Wi-Fi 超时设置为默认、仅在插入电源时或永不。

4.25.1. IT 管理员可以静默将受管设备设为静音。

4.25.2. IT 管理员可以禁止用户修改设备音量设置。

4.25.3. IT 管理员可以禁止用户取消静音设备麦克风。

4.26.1. IT 管理员可以强制执行系统自动时间，以防止用户设置设备的日期和时间。

4.26.2. IT 管理员可以静默开启或关闭自动时间和自动时区。

4.27.1. IT 管理员可以停用设备键盘锁。

4.27.2. IT 管理员可以关闭设备状态栏，屏蔽通知和快捷设置。

4.27.3. IT 管理员可以在设备接通电源时强制让设备屏幕保持开启状态。

4.27.4. IT 管理员可以阻止显示以下系统界面：

• 消息框
• 应用叠加层。

IT 管理员能够将额外的权限授予各个软件包。

4.28.1. IT 管理员可以管理以下范围：

• 证书安装和管理
• 故意留空
• 网络日志记录
• 安全日志记录（不支持个人设备上的工作资料）

从 Android 12 开始，工作资料将无法再访问硬件专用标识符。IT 管理员可以通过注册专用 ID（在恢复出厂设置后保留）跟踪具有工作资料的设备的生命周期。

4.29.1. IT 管理员可以设置和获取注册专用 ID

5.1.1. IT 管理员可以通过指定以下企业专用详细信息来自定义配置流程：企业颜色、企业徽标、企业服务条款和其他免责声明。

5.1.2. IT 管理员可以部署不可配置的 EMM 专用自定义设置，其中包括以下详细信息：EMM 颜色、EMM 徽标、EMM 服务条款和其他免责声明。

在 Android 10 及更高版本中，5.1.3 [primaryColor] 已废弃。

• EMM 必须在系统预配免责声明软件包中包含其预配流程的预配服务条款和其他免责声明，即使不使用 EMM 专用自定义也是如此。
• EMM 可以将其不可配置的 EMM 专用自定义设置为所有部署的默认设置，但必须允许 IT 管理员设置自己的自定义设置。

5.2.1. IT 管理员可以设置组织颜色，以用作工作挑战的背景颜色。

5.2.2. IT 管理员可以设置工作资料的显示名称。

5.2.3. IT 管理员可以设置工作资料的用户图标。

5.2.4. IT 管理员可以阻止用户修改工作资料用户图标。

5.3.1. IT 管理员可以为受管设备设置显示名称。

5.3.2. IT 管理员可以设置受管理设备的用户图标。

5.3.3. IT 管理员可以禁止用户修改设备用户图标。

5.3.4. IT 管理员可以设置设备壁纸。

5.5.1. IT 管理员可以定制简短和详细支持消息。

5.5.2. IT 管理员可以部署不可配置的 EMM 专用简短和详细支持消息。

• EMM 可以将其不可配置的 EMM 专用支持消息设置为所有部署的默认消息，但必须允许 IT 管理员设置自己的消息。

5.6.1. 对于使用系统联系人提供程序的个人应用，IT 管理员可以停用跨资料联系人搜索。

5.6.2. 对于使用系统联系人提供程序的个人拨号器应用，IT 管理员可以停用跨资料来电显示查找。

5.6.3. IT 管理员可以禁止与使用系统联系人提供程序的蓝牙设备共享蓝牙联系人，例如汽车或耳机中的免提通话。

5.7.1. IT 管理员可以配置跨资料 intent 过滤器，以便个人应用可以解析工作资料中的 intent，例如共享 intent 或网页链接。

• 控制台可以选择为配置建议已知或推荐的 intent 过滤器，但不能将 intent 过滤器限制为任何任意列表。

5.7.2. IT 管理员可以在主屏幕上允许显示 widget 的受管应用。

• EMM 的控制台必须让 IT 管理员能够从可向适用用户安装的应用列表中进行选择。

5.7.3. IT 管理员可以禁止在工作资料和个人资料之间使用复制/粘贴功能。

5.7.4. IT 管理员可以禁止用户使用 NFC 传输功能共享工作资料中的数据。

5.7.5. IT 管理员可以允许个人应用打开工作资料中的网页链接。

5.8.1. EMM 的控制台允许 IT 管理员设置以下 OTA 配置：

• 自动：设备会在 OTA 更新可用时安装更新。
• 推迟：IT 管理员必须能够推迟最多 30 天 OTA 更新。此政策不会影响安全更新（例如每月安全补丁）。
• 窗口期：IT 管理员必须能够在每日维护期内安排 OTA 更新。

5.10.1. IT 管理员可以将任何软件包设置为任意 intent 过滤器的默认 intent 处理程序。

• EMM 的控制台可以选择建议已知或推荐的 intent 进行配置，但不能将 intent 限制为任何任意列表。
• EMM 的控制台必须允许 IT 管理员从可供为适用用户安装的应用列表中进行选择。

• 可信代理
• 指纹解锁
• 未隐去敏感信息的通知

5.11.2. EMM 的 DPC 可以在工作资料中关闭以下屏幕锁定功能：

• 可信代理
• 指纹解锁

• 安全摄像头
• 所有通知
• 未隐去内容的通知
• 可信代理
• 指纹解锁
• 所有屏保功能

5.14.1. EMM 可以静默检索设备的 MAC 地址，并在 EMM 的控制台中将其与设备关联。

5.15.1. 允许单个应用使用 EMM 的 DPC 静默锁定到设备。

5.15.2. 使用 EMM 的 DPC 开启或关闭以下系统界面功能：

• “主屏幕”按钮
• 概览
• 全局操作
• 通知
• 系统信息 / 状态栏
• 锁屏（锁屏状态）

5.15.3. 使用 EMM 的 DPC 关闭系统错误对话框。

5.17.1. IT 管理员可以提供在工作资料被擦除时要显示的自定义文本。